Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.

Addition.txt FRST.txt Зашифрованные.7z

Опубликовано

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start:
HKLM\...\Policies\system: [legalnoticetext] All your files have been encrypted due to a security problem with your PC.
2025-01-10 23:11 - 2025-01-10 23:11 - 000001430 _____ C:\Users\usr1cv83\Desktop\How-to-decrypt.txt
2025-01-10 22:26 - 2025-01-10 22:26 - 000000000 ____D C:\temp
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\Users\usr1cv83\AppData\Roaming\Process Hacker 2
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2
2025-01-10 22:25 - 2025-01-10 22:25 - 000000000 ____D C:\Program Files\Process Hacker 2
2025-01-10 23:15 - 2023-12-18 16:33 - 000000000 __SHD C:\Users\usr1cv83\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Папку C:\FRST\Quarantine  заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Опубликовано

Добавьте, пожалуйста отчеты после сканирования KVRT  и лог сканирования Cureit, можно поместить в один архив без пароля.

Опубликовано

Вот.

Logi.7z

Что у Cureit, что у KVRT есть папки Quarantine. Мложет быть пригодятся?

Опубликовано

из найденного в Cureit:

C:\Users\Администратор\Downloads\AnyDesk.exe - infected with Trojan.MulDrop28.52419
C:\Users\Администратор\Downloads\AnyDesk.exe - infected

в kvrt это скорее всего тело шифровальщика:

            <Event12 Action="Detect" Time="133809952814626277" Object="C:\Users\usr1cv83\AppData\Local\0072EFF7-783D-F477-CDFA-0F3171F236E0\steam.exe"

 

есть еще пострадавшие от шифровальщика устройства, или только данный сервер был зашифрован?

 

Опубликовано

Только он

 

Есть шанс расшифровать?

 

Опубликовано (изменено)

Учетную запись ограничили и отключили после шифрования?

(из под нее похоже было шифрование.)

USR1CV83 (S-1-5-21-1281665750-1147704142-2868909237-1032 - Limited - Disabled) => C:\Users\usr1cv83

 

Изменено пользователем safety
Опубликовано (изменено)

Проверьте ЛС.

----------

Увы, по данному типу шифровальщика не сможем вам помочь без приватного ключа.

 

теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности:


1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Nibug
      Автор Nibug
      KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • copypaste
      Автор copypaste
      Доброго дня. 
       
      Коснулась напасть сия.
      Шифровщика по окончанию злодеяния нет. 
      Во вложении:
      1. Логи FRST
      2. Результат проверки KVRT
      3. Пример зашифрованных файлов + KEY файл и письмо Decryption
       
      Спасибо заранее за уделенное время.
      crypt.rar FRST.rar KVRT2020_Data.rar
    • Денис А
      Автор Денис А
      Добрый день.
      Помогите, пожалуйста, расшифровать файлы на ПК.
      Приложил файлы зашифрованные. лог FRST и текстовый файл с требованием выкупа.
       
      Заранее спасибо.
      AeyLALoFF.README.txt зашифрованные файлы.rar Addition.txt
      FRST.txt
    • Сергей Клюхинов
      Автор Сергей Клюхинов
      Зашифрованы файлы.
      Если есть идеи о способе расшифровки - прошу помощи.
      files.zip cFTZZMrfx.README.txt
    • TonHaw
      Автор TonHaw
      Здравствуйте. Зашифровали несколько серверов шифровальщиком LockBitBlack. Бэкапы тоже зашифрованы
      Зашифровали за выходные, утром на принтерах были листовки о выкупе (есть во вложении)
      virus.zip
×
×
  • Создать...